Studio Tarantelli > Servizi > Consulenza ISO 27001 e SGSI
Consulenza ISO 27001 ed Audit per i Sistemi di Gestione per la Sicurezza delle Informazioni (SGSI)
In questi ultimi anni le aziende hanno compreso l'importanza di certificare i propri sistemi di gestione e quello della Qualità identificato dalla ISO 9001 è certamente quello più comune, ma l'evoluzione tecnologica ed informatica, rappresentano una sfida cruciale per gli asset e business di ogni impresa.
Per tale motivo è sempre più apprezzata anche la certificazione per i Sistemi di Gestione per la Sicurezza delle Informazioni, identificata dalla norma internazionale ISO 27001, che con gli anni ha subito diversi aggiornamenti, integrando intelligenza artificiale, privacy, cyber security e nel 2024 anche il cambiamento climatico.
Tutti questi aspetti sono importanti per qualsiasi azienda che desidera valorizzare sia la propria infrastruttura che fornitori e clienti, i quali conferiscono un valore aggiunto alle imprese certificate, ma non solo! Moltissimi enti pubblici attribuiscono dei punteggi addizionali nei bandi ed a volte tali certificazioni risultano obbligatorie per la partecipazione.
Tuttavia gli step per certificarsi sono spesso complessi e non compresi pienamente dalle aziende a livello tecnico-pratico. Per questo motivo, spesso si rivolgono a consulenti esterni che hanno una formazione abilitante nella conduzione di Audit per la norma ISO 27001.
In questa maniera ogni azienda rivolgendosi a professionisti del settore, può conoscere lo stato di fatto del proprio Sistema di Gestione e comprendere se necessita di aggiornamenti, opportunità di miglioramento o purtroppo come spesso accade se ha delle Non Conformità, occorre risolverle prima dell'iter di certificazione da parte di un Ente accreditato.
Come previsto dalla normativa, per le aziende già certificate è necessario eseguire degli Audit interni ad intervalli pianificati ed anche in questo ambito un consulente esterno può rilevare eventuali anomalie o segnalare aggiornamenti utili prima del rinnovo della certificazione, specialmente se ci sono state delle modifiche sostanziali o si erano rilevate delle non conformità da sanare.
Gli step operativi
Le attività sono piuttosto complesse e qui di seguito si prova a sintetizzare semplificando al massimo l'iter operativo che può risultare più articolato a seconda delle varie organizzazioni prese in esame.
L'inizio di ogni collaborazione professionale, richiede una attenta valutazione della singola organizzazione, che deve passare necessariamente per una consulenza iniziale ed una analisi dello stato di fatto, specie se è già presente un Sistema di gestione per la Sicurezza delle Informazioni. Al contrario si procederà come da normativa, seguendo dapprima la fase 1 che riguarda l'analisi della parte documentale, seguita dalla Fase 2 che è rappresentata da quella operativa e di Audit.
Ogni Audit verrà pianificato, programmato (se non già presente), valutato in tutti gli aspetti utili alla conduzione come previsto dalla normativa vigente. Il numero di giornate di Audit verrà valutato sulla base della complessità dell'organizzazione.
L'organizzazione oggetto di audit sarà sempre partecipe, informata e presente in ogni fase, grazie ad una corretta ed idonea comunicazione tra le parti.
Qualora necessario, lo Studio Tarantelli chiederà il supporto di esperti nelle varie materie attinenti al campo di applicazione dell'azienda, tra cui colleghi ingegneri di altri settori, legali, commercialisti, tecnologi, etc., che potrebbero essere inclusi nel Gruppo di Audit come Esperti tecnici o se titolati come Auditor.
E' fondamentale che l'azienda oggetto di Audit individui una risorsa come Guida, fondamentale per assistere e guidare gli Auditor nelle varie fasi all'interno dell'organizzazione.
Al termine di tutte le attività verrà stilato sia un Rapporto finale di Audit che uno sulle singole non conformità, se presenti.
A questo punto l'Organizzazione dovrà procedere per eliminare le non conformità rilevate e quindi programmare un riesame per poter valutare o meno la chiusura delle problematiche evidenziate.
Aver risolto le problematiche con una consulenza o Audit Interno, aiuta certamente nel processo di certificazione o rinnovo e permette di pensare anche al miglioramento continuo, necessario per l'ottimizzazione di ogni Sistema di Gestione.
Perché scegliere lo Studio Tarantelli?
Come previsto dalla normativa, per la conduzione di Audit è richiesta una abilitazione alla professione che si ottiene con il superamento di esami inerenti alla UNI EN ISO/IEC 27001 per i Sistemi di Gestione per la Sicurezza delle Informazioni e per le tecniche di Audit dei Sistemi di Gestione, secondo la norma UNI EN ISO 19011 ed UNI EN ISO/IEC 17021. L'ing. Tarantelli possiede queste abilitazioni per la professione di Auditor e Lead Auditor di prima, seconda e terza parte.
Inoltre avendo maturato una vasta esperienza sia nelle consulenze in materia di Cyber Security, privacy, tecnologie di digitalizzazione che nella formazione di tali materie, può supportare tutte le imprese verso il percorso di certificazione e se richiesto può partecipare congiuntamente nell'iter, in qualità di consulente per conto dell'Organizzazione. Questo ultimo aspetto non è da sottovalutare, visto che il supporto negli Audit di terza parte ovvero di certificazione dell'ente incaricato può agevolare e ottimizzare le varie fasi.
Un ulteriore vantaggio da tener conto è la presenza di partners qualificati dello Studio Tarantelli, che sono stati selezionati per qualità, competenza ed esperienza nei vari settori di appartenenza.
E' bene precisare che le risultanze degli Audit non forniscono informazioni su come fare le attività di miglioramento o risolvere le non conformità, ma indicano solo cosa occorre fare.
Quindi non vengono descritte le operatività o gli step tecnici da porre in essere! Molte aziende spesso non hanno risorse su come risolvere queste problematiche e seppur seguiti da un proprio Auditor interno è possibile rivolgersi a professionisti esterni che, con la loro esperienza possono supportare e mitigare tutte queste criticità.
Pertanto, è possibile rivolgersi allo Studio Tarantelli anche nei casi in cui si desidera avere un supporto professionale per la soluzione di problematiche evidenziate negli Audit condotti da altri professionisti.